Flatpak 1.16.4 的补丁版本(于数小时前发布)以及实验性版本 1.17.4 修复了一个漏洞 (CVE-2026-34078)。该漏洞允许恶意或被入侵的 Flatpak 应用程序绕过沙箱隔离,访问宿主系统上的文件,并在沙箱隔离之外执行任意代码。此问题被评为严重级别(9.3 分,满分 10 分)。
该漏洞存在于 flatpak-portal D-Bus 服务中,该服务启动“门户”,用于从沙盒应用程序访问主环境中的资源。问题在于 flatpak-portal 允许应用程序在 sandbox-expose 选项中指定文件路径。由于缺乏适当的检查,这些路径可能是指向文件系统任意位置的符号链接。
在挂载之前,该服务会展开符号链接,并将它指向的路径挂载到沙箱环境中,从而允许您绕过隔离,获得对主机环境中文件的读写权限。要在系统中运行您的代码,您可以添加一个自动运行脚本,例如“~/.bashrc”或“~/.profile”,或者使用您的 SSH 密钥修改“~/.ssh/authorized_keys”文件。
您可以在以下页面查看各发行版的漏洞修复状态(如果页面不可用,则表示发行版开发者尚未开始调查此问题):Debian、Ubuntu、SUSE、RHEL、Gentoo、Arch、Fedora。作为一种临时解决方案,您可以禁用 flatpak-portal 服务:sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service
除了关键漏洞之外,新版本还解决了其他三个安全问题:
- 主机文件系统中存在任意文件删除漏洞 (CVE-2026-34079)。此问题是由 Flatpak 在清除过时的 ld.so 缓存时,未验证要删除的文件是否确实位于缓存目录中造成的。
- 能够在配置了 OCI 镜像仓库的系统上,通过符号链接操作,在系统辅助程序上下文中读取任意文件。
- 能够干扰应用程序下载取消请求的处理,允许一个用户阻止另一个用户停止下载。
来源: opennet.ru
